n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версий 2.10.1, 2.9.3 и 1.123.22 были выявлены и исправлены дополнительные уязвимости при оценке выражения n8n после CVE-2025-68613. Аутентифицированный пользователь с разрешением на создание или изменение рабочих процессов может злоупотреблять созданными выражениями в параметрах рабочего процесса, чтобы вызвать непреднамеренное выполнение системной команды на хосте, на котором работает n8n.
Проблемы исправлены в версиях n8n 2.10.1, 2.9.3 и 1.123.22. Пользователям следует выполнить обновление до одной из этих версий или более поздней, чтобы устранить все известные уязвимости. Если обновление невозможно немедленно, администраторам следует рассмотреть следующие временные меры по снижению риска.
Ограничьте разрешения на создание и редактирование рабочих процессов только полностью доверенными пользователями и/или разверните n8n в защищенной среде с ограниченными привилегиями операционной системы и доступом к сети, чтобы уменьшить влияние потенциальной эксплуатации. Эти обходные пути не полностью устраняют риск и должны использоваться только в качестве краткосрочных мер по снижению риска.
Показать оригинальное описание (EN)
n8n is an open source workflow automation platform. Prior to versions 2.10.1, 2.9.3, and 1.123.22, additional exploits in the expression evaluation of n8n have been identified and patched following CVE-2025-68613. An authenticated user with permission to create or modify workflows could abuse crafted expressions in workflow parameters to trigger unintended system command execution on the host running n8n. The issues have been fixed in n8n versions 2.10.1, 2.9.3, and 1.123.22. Users should upgrade to one of these versions or later to remediate all known vulnerabilities. If upgrading is not immediately possible, administrators should consider the following temporary mitigations. Limit workflow creation and editing permissions to fully trusted users only, and/or deploy n8n in a hardened environment with restricted operating system privileges and network access to reduce the impact of potential exploitation. These workarounds do not fully remediate the risk and should only be used as short-term mitigation measures.
Характеристики атаки
Последствия
Строка CVSS v4.0